Beiträge von TPIT-Service

MySQL mag bestimmte Sonderzeichen in Passwörtern nicht, wenn man sie nicht maskiert hat!
Vielleicht liegt es daran.

Ich bin noch krasser:

Wer nutzt schon Joomla!? *duck*

Eine Frage:

Warum php5-APC wenn PHP5 den Opcache schon mitbringt?

Zitat

Für Debian-Systeme: unattended-upgrades

Niemals!

Wer das macht sollte den Klammeraffen ganz weit wegwerfen, sonst läuft er Gefahr damit Gepudert zu werden!

Niemals und ich meine niemals unbeaufsichtigte Installationen laufen lassen, schon gar keine Upgrades.

Dann ändert sich mal beiläufig die PHP-Version und schwuppst funktioniert unter Umständen der schicke, mit viel Mühe zusammen gestrickte, PHP-Code nicht mehr.
Und das ist nur ein simples Beispiel für solch einen Unfug.

Wer so etwas macht und dann noch davon redet, dass fail2ban unsinnig sei, dem sollte man in seinen Worten lieber nicht folgen.

Sorry, aber das ist verdammt gefährlich.

Zitat

Möglichst alles über Pakete installieren (z.B. phpmyadmin) auch wenn man
da nicht die aktuellste Version hat, hat man immer alle
Security-Updates.

Auch Quatsch, es gibt durchaus bessere und aktuellere Communitys, die weit besser organisiert, bzw. schneller sind als original Quellen. Selbst kompilieren gehört genauso zum Handwerk und man versteht später viel besser was wirklich auf einer Kiste passiert.

Ein Server ist mit allen zur Verfügung stehenden Mitteln abzusichern.

Erster Anlaufpunkt ist iptables.
Pauschal alles sperren und nur das Nötigste öffnen.
Ports ändern, entsprechende Passwörter verwenden und und und.

Mit fail2ban kann man sich aussperren, richtig, aber dann hat man auch keine Ahnung wie man das Ding bedienen muss.
Ich möchte mal sehen, wie man Brutforce oder DDoS-Attacken ohne solche Hilfsmittel abfangen möchte, ohne sich nur auf den Anbieter zu verlassen

Ein schöner Punkt ist SELinux!
Oh je, oh je, das Unwort SELinux. Etwas Schickes wenn man damit umzugehen weiß.
Aber sicherlich nichts für Dows.

Das ist natürlich bei Weitem nicht alles.

Aber ganz ehrlich, wer angeblich seit längerem Server Beaufsichtigt und sich damit noch nie wirklich damit beschäftigt hat, der hat entweder eine bescheidene Arbeitseinstellung oder einfach nur auf die bunten Graphen des Monitorings geschaut und nach einem fähigen Admin geschrien, wenn es mal zum Gau kam.

Schon mal CentOS angesehen?
Mal was anderes als Debian, Ubuntu oder Suse, vor allem von vornherein wesentlich besser abgesichert. Allerdings muss man da viel lernen und es gibt nicht ganz so viele Beschreibungen und HowTo's. Allerdings sind Debian HowTo's auch nicht wirklich die Aktuellsten und man verwendet doch wieder eine Menge Zeit und muss Fehler ausbügeln.

Ja, so ein Webserver-Admin hat es schon nicht einfach und ohne *RTFM* sollte man auch nicht arbeiten.

Für die, die nichts mit RTFM anfangen können: RTFM = read the fucking manpage (manuel)

Viel Erfolg noch beim Lernen.

Macht man nicht vorher eine Sicherung?

Komisch, für Deine Argumente habe ich gerade innerhalb von 10 Sekunden gleich mehrere Linux-Lösungen gefunden.
Aber lassen wir das, das würde nur in eine andere Diskusion führen, ich möchte nur ein paar Impressionen sammeln.

Aber wie es scheint, scheinen das die einzigen Beispiele zu werden.

Zu Microsoft!
Eigentlich muss ich doch nicht erwähnen, dass man dafür alle paar Jahre neue Lizenzen und Hardware benötigt.
Ich denke das wirst Du selbst schon festgestellt haben.

Mal als reine Interessenfrage in den Raum geworfen:

Für Welche Anwendungen installiert Ihr Euch Windoofs auf einen Server, der im öffentlichen Netz steht?

Mal davon abgesehen, dass ich absolut der Meinung bin, dass Windows nichts, aber auch rein gar nichts in öffentlichen Netzen zu suchen hat, würde ich die Frage mal gerne beantwortet haben.

Das Tut scheint ok, ist aber eine reine Installation mit minimalster Grundkonfiguration
In keinster Weise wird Schutz gegen Spam behandelt und das macht die meiste Arbeit.
Mit Vorsicht zu genießen deswegen, weil sich der Noob und Dow in Sicherheit wiegt und meint das wäre es schon.

Froxlor ist kein Mail-Server!

Und was nützt das, wenn der Angreifer über Proxys kommt?
Richtig, nichts!

Man kann sich nicht effektiv gegen so etwas schützen, es sei denn man sponsort NetCup den schicken Support eines Anbieters für spezielle Firewalls und Filter.
Was wir machen können ist, es dem Angreifer schwer zu machen. Aber wer schon seit Jahren immer wieder unsichere Software verwendet darf sich über verseuchte Server nicht wundern.
Zudem kommt noch dazu, dass Server so billig geworden sind, dass einfach zu viele Noobs den Weg auf einen Server suchen, aber absolut keinen Plan haben.

Gefährlich und man muss sich dann anhören, dass man nicht einen entsprechenden Spruch hören möchte, obwohl es der beste Weg wäre, es einfach sein zu lassen.
Ein Kampf gegen Windmühlen und solange die Anbieter nur den Umsatz im Kopf haben und das ist im Geschäftsleben einfach mal so, wird sich daran auch nichts ändern.

Nach Wunsch partitionieren und als Mountpoints einhängen, z.B. nach /var/www, /tmp usw.

Stichwort: /etc/fstab

Kleiner Tipp noch nebenbei!
Zuerst nach /mnt einhängen Inhalte des jeweiligen Verzeichnisses, z.B. /var/www, nach /mnt rekursiv kopieren, Partition wieder aushängen und nach /var/www einhängen.
Damit gehen Dir keine Daten verloren und das System merkt nicht mal, dass Du es erweitert hast.

Natürlich gehe ich davon aus, dass Du eine Standardinstallation verwendest, wo das System nicht partitioniert ist und nur unter einer Partition installiert ist.

Bei solchen Sprüchen habe ich schon gar keine Lust zu helfen!
Basics sollte man schon drauf haben.

Mal als kleiner Tipp!

IPTABLES nutzt man genau anders herum!
Man schließt alles und öffnet nur das, was man auch benötigt.
Alles Andere ist Blödsinn.

FTP nach SFTP umstellen, Standard-Ports ändern, damit hat man zumindest vor den Scriptkiddies ein wenig mehr Ruhe, fail2ban richtig organisieren, Server generell absichern.
Einen Server zu administrieren ist nun mal keine Arbeit für Unerfahrene.

Und wenn Du tatsächlich nur ein läppisches Forum darauf laufen hast, hol Dir lieber einen Managed-Service oder Webspace. Damit läufst Du nicht Gefahr hier mächtig in Regress genommen zu werden und vor allem andere damit zu gefährden.

Mit Exchange kauft man ein bekanntes Microdoof-System, was zunächst mal funktioniert!

Zitat

Teuer ist Exchange nicht wirklich.

Das kann ich so nicht bestätigen!
Exchange ist sehr wohl teuer.

Wir stellen gerade unsere gesamte Firma (ca. 280 Clients) auf Open Source um und das nicht ohne Grund.
Alleine schon der Aspekt, alle paar Jahre neue, teure Lizenzen zu benötigen, nämlich immer dann wenn die Redmonder wieder ein Stück weit die Abhängigkeits-Daumenschraube anziehen, ist kein unerheblicher Aspekt.

Mal eben 280 Clients mit neuen Lizenzen ausstatten, nur um nicht mal vernünftigen Support zu bekommen?

Sorry, aber da kann ich den Spruch *Exchange wäre nicht teuer*, nicht wirklich stehen lassen.
Der gesamte Microdoof-Mist ist teuer, funktioniert zwar, aber das mehr schlecht als Recht.

Es gibt durchaus Open Source Projekte, die Exchange kaum nach stehen, man muss nur mal vernünftig recherchieren und wissen was man möchte.

Schau Dir mal Zarafa an!
Exchange, naja!

Kaum zu glauben, aber es steht in der Fehlermeldung.

Richtig, mindestens ein SMTP -Server muss eingerichtet sein, sonst läuft das Ganze nicht.
Sendmail oder exim sind die, die meistens gleich mit installiert werden, wenn man einen Allerwelts-Server in die Welt setzt.
Ob man das möchte und nutzt bleibt einem selbst überlassen, ansonsten kann man den Dienst auch gleich deaktivieren oder gar gleich deinstallieren. Ihr wisst schon, Ressourcen usw..

Naja, Glaskugeln haben wir alle nicht geputzt!
Der Log-Eintrag besagt nur, dass die Verbindung geschlossen wird und GMX, aber auch anderen Anbieter sind dafür bekannt, Kauderwelch-Absender einfach mal zu blocken. Da wundert es mich nicht, dass Du später in ein Timeout läufst.

Aber wie oben erwähnt, mit den dünnen Infos lässt sich eine Glaskugel nicht aus dem Winterschlaf holen.
Ich rate aber mal in den blauen Dunst und behaupte, dass die DNS-Einträge falsch gesetzt sind.

Noch schlimmer ist der Eintrag bei mydomain!
So etwas wie das hier v22013041620211846.yourvserver.net bereitet einigen Mail-Anbietern, aber auch Spamschutzmaßnahmen Kopfschmerzen und werden sehr oft gefiltert, was auch gut so ist.

Setzt mal einen vernünftigen rDNS-Eintrag auf den eigenen Server (im CCP), z.B. so etwas hier mail.cybergrafik.at!
Bei mydomain kommt dann cybergrafik.at rein und mail.cybergrafik.at bei myhostname! Meinetwegen auch den Eintrag über die Variable, was man aber eigentlich nicht so macht.
Sag mir nicht, das hat Froxlor so gesetzt?

Die Host-Konfiguration des Servers muss dann auch gleich angepasst werden (/etc/hostname - /etc/hosts).

Obendrein, solltet Ihr mal über Spam, Virenschutz und Verschlüsselung (TLS) nachdenken, da ist gar nichts abgesichert.

Es geht hier ja nicht um mich!